GUIA DE LABORATORIO

BACKTRACK

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para

la auditoría de seguridad y relacionada con la seguridad informática en general.

Deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor +

WHAX. WHAX es la evolución del Whoppix,(WhiteHat Knoppix) el cual pasó a basarse
en SLAX en lugar de en Knoppix. Incluye larga lista de herramientas de seguridad listas
para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades,
archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la
auditoría Wireless.
KALI LINUX
Es una distribución basada en Debian GNU/Linux diseñada principalmente para la
auditoría y seguridad informática en general. Fue fundada y es mantenida por Offensive
Security Ltd. Mati Aharoni and Devon Kearns, ambos pertenecientes al equipo de
Offensive Security, desarrollaron la distribución a partir de la reescritura
de BackTrack,que se podría denominar como la antecesora de Kali Linux.
Kali Linux trae preinstalados numerosos programas incluyendo Nmap (un escáner de
puertos), Wireshark (un sniffer), John the Ripper (Un crackeador de passwords) y la
suite Aircrack-ng (Software para pruebas de seguridad en redes inalámbricas). Kali
puede ser usada desde un Live CD, live-usb y también puede ser instalada como
sistema operativo principal.
Kali se distribuye en imágenes ISO compiladas para diferentes arquitecturas (32/64 bits
y ARM).
INTRODUCCIÓN A SOCIAL-ENGINEERING TOOLKIT (SET)
En el mundo de la seguridad informática no se puede dejar nunca de lado la ingeniería
social.

La ingeniería social continúa siendo una de las metodologías de ataque más utilizadas
debido al alto nivel de eficacia logrado engañando al usuario.

Como dijo aquel "la cadena es tan fuerte como el eslabón mas débil que la componga"
y, en más ocasiones de las que debiera, este eslabón no tiene nombre de hardware o
software, si no de algún fulano llamado Pepe, Manuel o José Luis...
Que es SET?
SET es una completísima suite dedicada a la ingeniería social , que nos permite
automatizar tareas que van desde el de envío de SMS (mensajes de texto) falsos, con
los que podemos suplantar el numero telefónico que envía el mensaje, a clonar
cualquier pagina web y poner en marcha un servidor para hacer phishing en cuestión
de segundos.

El kit de herramientas SET está especialmente diseñado para realizar ataques

avanzados contra el elemento humano. Originalmente, este instrumento fue diseñado
para ser publicado con el lanzamiento de http://www.social-engineer.org y rápidamente
se ha convertido en una herramienta estándar en el arsenal de los pentesters. SET fue
escrito por David Kennedy (ReL1K) con un montón de ayuda de la comunidad en la
incorporación de los ataques nunca antes vistos en un juego de herramientas de
explotación.

SET integra muchas de las funciones de Metasploit, es más, muchas de las funciones
de SET las saca de Metasploit, por tanto no se concibe SET sin previamente tener
instalado Metasploit.

Quizás lo que mas nos ha llamado la atención de SET es su eficacia y agilidad a la hora
de implementar su gran variedad de ataques.

Sistema de Phishing en el The Social-Engineer Toolkit

El sistema de creación de phishing en el SET es bastante completo, nos permite generar

automáticamente un sitio falso con el cual engañar a los destinatario o enviar r de forma
masiva correos con adjuntos maliciosos que permiten el acceso remoto a una maquina.
Vector de Ataque Web en el The Social-Engineer Toolkit

SET también permite realizar ataques automáticos a un usuarios que ingrese (por medio
de ingeniería social) a una dirección que le especifiques (ahora lograr esto es mucho
mas fácil gracias a los acortadores de direcciones), SET se encarga de subir el servidor
y realizar el ataque que le especifiques (un applet de java, ataques múltiples, o
tabnabbing entre otros…) que te devolverá una shell en el equipo víctima.
Creación de Medios Infectados en el The Social-Engineer Toolkit

Permite crear un archivo que se conecte remotamente a nuestra maquina,

ofreciéndonos una shell del sistema y se ejecute en el equipo remoto al introducirse una
memoria/disco duro USB, o un disco DVD/CD aprovechando el “autorun” de windows .
Generar ejecutable con Payload en el The Social-Engineer Toolkit

SET también permite (con la ayuda de metasploit framework) generar un ejecutable que
se conecte remotamente a nuestra maquina, una vez lo abran en la maquina víctima,
permitiéndonos configurar una gran cantidad de shells, entre ellas la famosa
meterpreter, shells ciegas de windows, shells remotas y todo esto para procesadores a
32 y 64 Bits
Ataques por Correo en The Social-Engineer Toolkit

En esta completa suite para hacer ataques de ingeniería social, se incluye una sección
especialmente dedicada al correo electrónico, permitiendo enviar correos falsos o
desde una cuenta gmail, a una o muchas personas.
Ataques con dispositivos Personalizados en el The Social-Engineer Toolkit

Los dispositivos Teensy son todos aquellos aparatos en los que se ha utilizado la
tableta programable Teensy en su elaboración, al ser altamente personalizable y
programable se puede emplear en procesos de auditorias en seguridad. SET nos facilita
la tarea al programar estos dispositivos, ofrecernos rutinas que al conectar un
dispositivo de estos nos podría poner a bajar una aplicación externa o ingresar a un sitio
especifico y aceptar un applet de java, infectandonos en el proceso.
Falsificando Mensajes de texto en el The Social-Engineer Toolkit

Uno de los vectores de ataques mas eficientes a los que tenemos acceso con el SET,
es el de envío de SMS (mensajes de textos) falsos, con los que podemos suplantar el
numero telefónico que envía el mensaje, haciéndole pensar al receptor que
efectivamente esa persona es quien le ha escrito, también incluye una opción para el
envío masivo de SMS, por lo que podríamos enviar el mensaje a un mayor numero de
destinatarios sin problema (la posibilidad de envíos a teléfonos fuera de estados unidos,
depende de la disponibilidad del servicio por parte de las empresas prestadoras).

Actualizando Metasploit y The Social-Engineer Toolkit

El SET esta ligado fuertemente al metasploit Framework, ya que muchas de sus

funcionalidades las saca de este, por tanto incluye la posibilidad de actualizarlo desde
su propia interface, así como incluye un actualizador para el mismo (recomendable que
lo hagas cada que inicies el programa).
CODIGO MALICIOSO

Antes de explicar un poco cuales son los códigos maliciosos detectados, vale la pena
mencionar que si bien estos portales no son maliciosos ya que están relacionados con
entidades públicas, si contienen vulnerabilidades que se han aprovechado para inyectar
código malicioso. Así, cualquier usuario que simplemente entre al sitio, incluso sin tener
ningún tipo de interacción con el mismo, es susceptible de ser atacado si no cuenta con
la protección adecuada.

El código malicioso que se encuentra en la mayor cantidad de sitios corresponde al

troyano detectado por las soluciones de ESET como JS/Kryptik.AMI. Este malware que
aprovecha la infección a través de sitios web y que además tiene un crecimiento
importante en Chile tiene la característica de llegar a descargar un applet de Java, el
cual puede ejecutar código malicioso en la máquina del usuario.

Otro tipo de códigos maliciosos encontrados en estos sitios son los Backdoors web, que
también están presentes en otros servidores latinoamericanos. La característica de
estos códigos maliciosos del tipo WebShell es que corresponden a un script
desarrollado en algún lenguaje web, con el objetivo de ejecutar comandos en el servidor
donde se encuentra alojada. Por lo general se utilizan para robar información o incluso
para alojar códigos maliciosos de otra naturaleza que luego son utilizados en diversas
campañas de propagación. Estos códigos maliciosos afectan la tecnología PHP y
algunas firmas comunes tanto a los sitios de entidades educativas como de gobierno
son PHP/WebShell.NAG y PHP/C99Shell.F.

Java es otra tecnología para la cual también se encuentran algunos códigos maliciosos.
Principalmente los del tipo TrojanDownloader, que corresponden a códigos maliciosos
que se encuentran en archivos JAR y tratan de descargar algún otro tipo de código
malicioso a la máquina de la víctima.

TEST DE PENETRACIÓN

Test de Penetración, también llamado a veces “hacking ético” es una evaluación activa
de las medidas de seguridad de la información. En los entornos de red complejos
actuales, la exposición potencial al riesgo es cada vez mayor y garantizar seguridad en
los sistemas se convierten en un auténtico reto. A través del Test de Penetración es
posible detectar el nivel de Seguridad Interna y Externa de los Sistemas de Información
de la empresa, determinando el grado de acceso que tendría un atacante con
intenciones maliciosas.
CICLO DE VIDA DEL TEST DE PENETRACION

Planeación y preparación: En esta fase se llevan a cabo los acuerdos legales, se

define el alcance, se presenta el equipo de trabajo, el plan de trabajo, fechas y tiempos
límite, entre otras cosas.
Pruebas de Penetración: En esta fase se ejecutan todas las pruebas de penetración
con el fin de identificar vulnerabilidades y simular ataques reales contra estas.
Generación de reportes: En esta fase se documentan las vulnerabilidades detectadas
durante las pruebas, y a su vez, se emiten recomendaciones para mitigar o minimizar
el riesgo asociado a cada una de ellas.
EJEMPLO
Planeación: Checklists de pruebas
Pruebas de Red
Pruebas a aplicaciones Web
1.- Reconocimiento y obtención de información
The Harvester - http://www.edge-security.com/theharvester.php
Foca - http://www.informatica64.com/foca.aspx
NMAP - http://nmap.org
2.- Identificación de vulnerabilidades
 Nessus – http://www.nessus.org
3.- Ataque y penetración
ExploitDB – http://www.exploit-db.com
Metasploit Framework – http://www.metasploit.com
Hydra - http://www.thc.org/thc-hydra/
4.- Obtención local de información
Sniffing - http://www.tcpdump.org
5.- Escalamiento de privilegios y mantenimiento de acceso
Mala configuración en ‘sudo’
Linux Kernel sock_sendpage() Local root exploit –
http://www.exploit-db.com
6.- Limpieza
PRUEBA PHISING – INCLUSION DE TROYANO
Para esta prueba de concepto se ejecutará un ataque de Phishing y un Troyano (shell
reverso embebido en un Applet de Java) con ayuda de las herramientas SET y
Metasploit incluidas en la distribución Backtrack Linux. También se encuentra incluida
en Kali Linux.

Para llevar a cabo la prueba se debe contar con las siguientes herramientas:

1. Distribución Kali o Backtrack. Estas fueron impartidas vía USB a los estudiantes.
Las de Kali, pueden descargarse del siguiente Link:
https://www.offensive-security.com/kali-linux-vmware-arm-image-download/
El estudiante puede utilizar una imagen ISO y crear la máquina virtual. Es
responsabilidad del estudiante que dicho procedimiento sea exitoso
2. La herramienta de virtualización VMware Player (Para uso no comercial).
http://www.vmware.com/products/player/
3. Computador con características mínimas de hardware.

PASOS A SEGUIR

1. Una vez instalada la herramienta de virtualización, se ejecuta la máquina virtual

2. Se le solicita realizar un login utilice las siguientes credenciales:
Username: root
Clave: toor
3. Se ejecute la interfaz gráfica con el comando startx.
4. Desde el menú de Aplicaciones, escoja el aplicativo set (Social Engineering
Toolkit):

5. Se escoge la opción 2 “Social Engineering Attacks”

6. El ataque que se va a realizar involucra vectores de ataque de Sitios Web (Web
Site Attack Vectors, opción 2)
7. Hay varios métodos de ataques web, pero para este laboratorio vamos a ilustrar
uno muy sencillo que incluye inyectar código malicioso en un Applet de Java
(The Java Applet Attack Method, opción 1).
6. Ahora escoger qué página web le vamos a presentar a las víctimas que se conecten
a nuestro sitio malicioso. Hay varias opciones, podemos usar una plantilla
preestablecida de sitios webs conocidos como Facebook, Google, etc. O mejor aún
podemos clonar un sitio web de nuestra elección. Para la prueba vamos a clonar una
pagina por lo cual se escoge la opción 2
8. Debemos confirmar la IP con la cual clonaremos el sitio WEB para ello se debe
confirmar la dirección IP de la maquina virtual. Para ello abrimos otra ventana y
utilizamos el comando ifconfig. Copiamos y pegamos en la ventana SET. Luego
indicamos la URL del sitio WEB a clonar
9. Posteriormente elegimos el código malicioso que se ejecutará en el momento en
que el usuario ingrese al sitio web clonado y acepte el Applet de Java. Hay
diferentes opciones, pero al momento elegiremos la opción 2, la cual consiste en
que se abrirá un shell reverso (para acceder con la herramienta Meterpreter de
Metasploit) desde la máquina víctima hacia nuestro equipo (el del hacker).
10. Finalmente escogemos la opción de codificación de nuestro payload (el código
que llevará el Applet) para evitar que sea detectado fácilmente por un antirus.
Existen diferentes tipos de codificaciones, pero en este ejemplo usaremos Multi-
Encoder (opción 15) el cual realiza el proceso de codificación varias veces
seguidas. Adicionalmente elegimos un número de puerto libre por el que
escucharemos en Meterpreter las sesiones que abran nuestras “víctimas”.
11. El aplicativo SET se encarga de iniciar automáticamente la consola de Metasploit y
de abrir la herramienta Meterpreter por nosotros. En este momento nuestro website
malicioso está activo y a la espera de conexiones procedentes de nuestras “víctimas”.
Este es un claro ejemplo de lo peligroso que puede ser el Phishing. Para que el ataque
tenga éxito el usuario debe hacer click en el botón Ejecutar.

14. Después de hacer click en Ejecutar el usuario es redirigido al verdadero website de

Facebook.
Paralelamente nuestro payload abre una sesión remota hacia el puerto de escucha en
la máquina del hacker que definimos previamente. Para el usuario es transparente, pero
en la máquina del hacker nos muestra una notificación de que hay una nueva sesión en
Meterpreter.

15. Para tomar el control de la sesión ejecutamos el comando sessions –i # en donde #

representa el número de la sesión, para este ejemplo “1”. Y una vez que hemos tomado
control de la sesión podemos realizar lo que queramos con el PC víctima, como abrir
una línea de comandos, capturar la pantalla, leer, copiar, borrar archivos, tomar control
de la cámara y tomarle una foto a la víctima, activar el micrófono de la víctima y escuchar
lo que se habla alrededor del PC, etc.
PRUEBA DE DNS Spoofing

Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una

relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir,
resolver con una dirección IP falsa un cierto nombre NS o viceversa. Esto se consigue
falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS,
mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia
servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles
de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning).

ESCENARIO:
El siguiente tutorial consta de realizar un ataque conocido como DNS Spoofing, el
siguiente ejemplo se basa en una red LAN con dos participantes un atacante y una
victima:

Atacante:
Sistema operativo: Backtrack 5 R3

Victima:
Sistema operativo: El sistema operativo de la victima es irrelevante...

La idea principal es poder obtener la contraseña y login de su cuenta de facebook,este

ejemplo se puede hacer con cualquier pagina web que deseamos solo tenemos que
indicar al set y ettercap de la pagina web a clonar.
1. Se puede realizar mediante interfaz gráfica indicada en la prueba anterior o por línea
de comandos. Para la línea de comandos, ingresamos a la siguiente ruta:

# cd /pentest/exploits/set/
# ./set
Se abrirá la aplicación SET para realizar ataques de tipo ingeniera social
a continuación elegimos la siguientes opciones:

2. Opción 1 para realizar un ataque Social-Enginnering Attacks

3. En el siguiente menú seleccionamos 2 ; Website Attack Vectors
4. En Multi-Attack seleccionamos la opción 3 ; Credential Harvester Attack Method para
poder realizar el clonado de la pagina que deseamos atacar. Este punto se diferencia
del anterior debido a que queremos encontrar las credenciales de acceso al sitio web
clonado
5. Seleccionamos opción 2 Site Cloner
6. En las opciones para clonar la pagina con éxito tendremos que ingresar los datos
indicados en el punto anterior: nuestra dirección IP, y el adaptador de red que estamos
ocupando en mi caso eth0,en caso de wireless se ocuparía wlan0 por defecto.

7. Luego de ingresar nuestra IP,nos pedirá la pagina web a la cual deseamos realizar
el clonado, en caso de ejemplo ocupare facebook , pero se puede utilizar cualquier
pagina web, ya sea twitter, youtube, blogger,etc.

8. Una vez finalizado empezara a iniciar el clonado a la pagina web, es necesario tener
el servicio de apache iniciado, en caso de que no lo este, nos aparecerá el siguiente
mensaje , para iniciar el servicio al cual ponemos Y.
9. Para que el usuario no ingrese nuestra dirección IP, como el caso anterior, se utilizará
una herramienta llamada ettetcap, su función será: cuando el usuario ingrese a
facebook se envenene automáticamente y no tenga que ingresar nuestra IP. Para ello
con un editor de texto editamos la siguiente ruta: nano
/usr/local/share/ettercap/etter.dns y agregamos los
siguientes parámetros ingresamos el dominio y nuestra IP como muestra la imagen.
Para Linux cambia la ruta, por lo cual primero se debe indicar el comando locate
etter.dns, se reemplaza por la ruta indicada inicialmente

Dominio.com A IP
*.Dominio A IP
www.dominio.com PTR IP

Guardamos y cerramos.
y para finalizar envenenamos:
ettercap -T -q -i Adaptador de red -P dns_spoof -M arp // // (cambiar lo indicado en rojo
según corresponda)

Bueno cuando el usuario conectado a nuestra lan ingrese a facebook.com se

envenenara automáticamente:
VICTIMA:

Victima ingresando a facebook y realizando el proceso de login:

ATACANTE:

Recibe la información de la cookies GET que captura en la lan. Se puede verificar en la

ventana de SET o en la ventana donde se realiza el envenenamiento
|

ETTERCAP INTERFAZ GRAFICA: ATAQUE DENAGACION DE SERVICIOS ARP Y

DNS SPOOFING

1. El primer paso es modificar el archivo con el comando: nano

/usr/local/share/ettercap/etter.dns con un editor de texto, como se realizó en
el paso anterior. Esta vez colocaremos el dominio google.es, pero puede
realizarse con cualquier dominio
2. Abrir Ettercap, esta localizada en Aplicaciones > Backtrack > Privilege Escalation
> Protocol Analysis > Network Sniffers > entercar-gtk
3. Cuando nos abre ettercap, vamos a Snif > Unified Sniffing…

4. Elegir el adaptador de red que queremos utilizar para capturar las paquetes
5. Escanear la red para todos los nodos conectados, para ello vamos a Hosts >
Scan For Hosts
6. Cuando ha terminado de escanear la red, vamos a Hosts > Hosts List
7. Ahora tenemos que ir a Targets > Select Targets
8. En Target 1 ponemos // y en Target 2 ponemos //
9. Ahora tenemos que activar el plugin de DNS Spoof, para ello vamos a Plugins >
Manage The Plugins Para activar el plugin, hacemos doble clic en dns_spoof
10. Activar ARP Poisoning, para ello vamos a Mitm > ARP Poisoning
11. Opciones que queremos utilizar, marcamos Sniff Remore Conections
12. El últimos paso es ir a Start > Start Sniffing
Si vamos a google.es en cualquier equipo de la red (diferente al del ataque), nos sale
la pagina index.html de nuestro equipo o falla en la conexión
GUIA DE LABORATORIO (ENTREGABLE)

1. Realizar cada una de los pasos indicados en la guía, para los dos tipos de ataques.
2. Tomar las evidencias de pantalla o realizar un video indicando cada uno de los pasos
3. De acuerdo a la información indicada sobre el ciclo de vida del Test de Penetración indicar
lo siguiente:
a. Describir las actividades que considere importantes para la fase de planeación y
preparación para cada una de las pruebas
b. Describir las actividades que considere hacen parte de la fase de pruebas (pasos 1,
3,4 y 5 del gráfico ciclo de vida”
4. Generar un reporte para estas pruebas que contenga:
a. Introducción: Descripción corta de la prueba
b. Objetivos: Lo que se espera lograr con la prueba (Brindados por el docente)
c. Desarrollo de la prueba
i. Descripción de la maquina atacante utilizada (Bactrack – Kali)
ii. Descripción de la maquina victima
iii. Descripción del ataque
1. Dirección ip utilizada
2. Pg Web Clonada en cada caso
3. Herramientas Backtrack – Kali utilizadas
4. Tiempo que tardó el ataque
5. Activo de información atacado
6. Vulnerabilidades del activo identificadas (mínimo 2)
7. Amenazas detectadas (mínimo 1 por cada vulnerabilidad)
8. Riesgos (mínimo 1 por cada amenaza)
9. Recomendaciones para prevenir el ataque
d. Conclusiones generales.